Я собираюсь перевести свой сайт на https. У меня есть сервер, отвечающий за HTML / PHP, и 4 других сервера, которые обслуживают содержимое изображений.
Теперь ясно, что все серверы изображений должны быть https, чтобы предотвратить предупреждения браузера, но мне интересно ..
Требуется ли, чтобы серверы изображений имели такую же стойкость шифрования, как и основной веб-сайт SSL? Или достаточно того, что они обслуживаются по https, независимо от длины ключа и выбранного шифра.
Я не могу найти ничего убедительного в этом в Google, но, по общему признанию, это сложная тема для поиска
Короче говоря, вы правильно предполагаете, что любой внешний ресурс, размещенный на https: // с любым типом SSL / TSL и т. Д., Не вызовет заметного эффекта для любого из ваших посетителей.
У нас был точно такой же вопрос, когда мы были вынуждены включить удаленный JS обработчиком платежных карт.
После некоторого исследования всех комбинаций устройств и браузеров, которые мы смогли получить (а также с помощью некоторых веб-инструментов, таких как browsershots.org и modern.ie.
Мы обнаружили, что все протестированные нами браузеры ссылались только на URL-адрес загруженной страницы (и ее заголовки) при предоставлении клиенту / посетителю логотипа замка / безопасного соединения.
Очень часто при включении внешних JS / изображений / виджетов и т. Д. Включенный внешний ресурс / файл имеет совершенно разные цепочки шифров для согласования TLS / SSL.
Даже эксперты описывают наш собственный ежедневный сканер стандартов PCI и отраслевые экспертные ресурсы, которые, как мы обнаружили, www.ssllabs.com, дадут вам обзор и оценку способности ваших серверов согласовывать TLS / SSL / SPDY и т. д., они даже не загружают содержимое документа, не говоря уже о поиске любых включенных внешних ресурсов. Они просто смотрят на вашу способность рукопожатия на уровне сервера.
В наш конкретный веб-сайт / example, обеспечивая поддержку последних версий TLS вместе с новым протоколом SPDY в Google, мы наградили ssllabs.com и все браузеры, показывающие безопасный логотип, «A +», даже несмотря на то, что страница включала внешний ресурс javascript, который допускал как устаревший SSL3, так и 64-битный SSL но ни один из новейших промышленных стандартов шифрования.
Кажется, что это может зависеть от браузера, но, по моему опыту, браузеры просто требуют, чтобы замененный контент на странице был загружен по HTTPS. Им все равно, какая это сила.